Freitag, 12. November 2010

Tagesanzeiger: Kreditkarte mit Tastatur: Gestohlene Passwörter für Diebe nutzlos

Der Tagesanzeiger zeigt seine Kompetenz im Digital-Teil mal wieder mit einem absolut unkritischen Artikel, der aus der Presseabteilung der Banken stammen könnte.

"Immer dasselbe Passwort bei Online-Einkäufen zu verwenden, ist ein Sicherheitsrisiko. Der weltgrösste Kreditkartenanbieter Visa und Cornèr Bank sagen dem Passwortklau nun den Kampf an."
Online einkaufen mit Passwort? Also, zum Bezahlen benutzt man doch die Kreditkartennummer, das Verfallsdatum und ev. noch einen aufgedruckten "Sicherheitscode". Naja.

"Visa führt zusammen mit der Cornèr Bank auch in der Schweiz eine neue Kreditkarte ein, die mittels Tastatur und Display Einmalpasswörter erzeugt."
Aha. Schön... es wäre toll, wenn es dazu technische Hintergründe gäbe, wie das denn nun für den Kunden aussieht? Muss ich dieses Einmal-Passort denn nun zum Einloggen in meinen Account beim Online-Shop verwenden? Wohl kaum! Das würde eine enorm enge Verzahnung des Online-Shop-Systemes mit der Bank erfordern.
"Damit sind gestohlene Passwörter für Diebe nutzlos, weil die Passwörter für keine weiteren Einkäufe im Internet genutzt werden können."
Das scheint logisch. Dann wiederholt man nochmals die alte Binsenweisheit aus der Einleitung:
"Immer dasselbe Passwort bei Online-Einkäufen zu verwenden, ist ein Sicherheitsrisiko. Hacker könnten das Password im Internet abfangen oder mittels Spionagesoftware stehlen und für eigene Einkäufe verwenden."
Haben Journalisten eine Quote an Worten zu erfüllen, dass solcher Fülltext in den Artikeln landet? Oder will da jemand seine ausserordentliche Kompetenz unter Beweis stellen und seine  Weisheit an die Leser weitergeben?
"Bei der neuen Visa-Kreditkarte muss der Inhaber über die Tastatur seinen PIN-Code eingeben."
Aha. Ein statischer Pincode? Hübsch.
"Dann erscheint auf dem Display der Karte ein Sicherheitscode, den der Inhaber nun auf der Internetseite eintippt, um die Käufe zu bezahlen. Durch die PIN ist sichergestellt, dass nur der Karteninhaber die Käufe durchführen kann."
Wow, der ist aber optimistisch!

"Da der Sicherheitscode nur einmal gültig sei, sei Phishing ausgeschlossen. «Jemand, der meinen Sicherheitscode im Internet abfängt, kann damit nichts anfangen. Denn bei der nächsten Transaktion ist der Sicherheitscode wieder ein anderer», sagte Seralvo (das ist der Vertreter der Cornerbank, Anm.d.Bloggers) vor den Medien in Zürich. Neben dem Shopping soll das Verfahren später auch für das Internetbanking verwendet werden können."
Weiss der Herr denn, was Phishing ist, und wie es funktioniert?  Was für Sicherheitsexperten haben diesen Schrott denn wieder erfunden? Selbst mir als relativen Laien (ich habe weder Uni-Abschluss noch Ingenieur-Titel) fallen da einige Löcher auf. Die Lösungen, wie einige davon zu stopfen wären, sind in Sicherheitskreisen eigentlich allgemein bekannt!

Beim Phishing werden Personen auf Websites gelockt, die den eigentlichen Zielen des Kunden täuschend ähnlich sehen und diese dazu bringen, ihre Daten einzugeben.
Wer hindert also den Phisher daran, mit diesen frischen Daten etwas einzukaufen? Es muss sich ja nur der Kunde selbst gegenüber der Karte authentifizieren! Wenn man den Karteninhaber hereinlegt (was ja beim Phishing gemacht wird) nützt diese "Sicherheitsmassnahme" genau nichts.

Würde wenigstens eine Challenge stattfinden (die Website, auf der man etwas einkaufen möchte, präsentiert einen Code, der einzugeben ist. Die Karte überprüft die Gültigkeit des Codes in welchem z.B. auch der zu bezahlende Betrag enthalten ist, zeigt dem Kunden den Betrag und den Namen des Anbieters an und liefert bei Bestätigung einen Code zurück, den der Kunde nun auf der Website eingibt), wäre schon viel mehr Sicherheit möglich. Auch damit ist Phishing noch nicht ausgeschlossen, aber doch schon deutlich erschwert.

Schade, dass hier einfach nur die Werbebotschaften der Bank nachgebetet werden, ohne die Aussagen kritisch zu hinterfragen! Wenn man es selbst schon nicht besser weiss, könnte man doch wenigstens jemanden fragen, der es wissen müsste. Aber dafür reicht wohl die Zeit in den Redaktionen nicht mehr aus. Schade!

Keine Kommentare:

Kommentar veröffentlichen